image

Google: consument huiverig voor beveiligingsupdates

donderdag 23 juli 2015, 12:28 door Redactie, 12 reacties

Doorsnee internetgebruikers zijn huiverig voor beveiligingsupdates en beschouwen dit zelfs ten onrechte als een beveiligingsrisico, zo blijkt uit onderzoek (pdf) van Google. De internetgigant besloot het securitygedrag van 231 beveiligingsexperts en 294 internetgebruikers die geen expert zijn te vergelijken.

Zo werd er onder andere naar de top 5 beveiligingsmaatregelen gekeken die beide groepen nemen. Daaruit blijkt dat doorsnee internetgebruikers het belang van beveiligingsupdates ernstig onderschatten. 35% van de experts noemt het installeren van beveiligingsupdates als beveiligingsmaatregel, terwijl slechts 2% van de gebruikers dit doet. Daardoor is het installeren van patches de beveiligingsmaatregel met het grootste verschil tussen gebruikers en experts.

Verder onderzoek naar dit gedrag wijst uit dat 39% van de experts updates automatisch laat installeren, terwijl dit bij gebruikers 29% is. Daarnaast zegt 25% van de experts dat updates direct worden geïnstalleerd. Bij de gebruikers wordt dit door slechts 9% gedaan. Volgens de onderzoekers heeft het niet tijdig installeren van updates mogelijk te maken met slechte ervaringen uit het verleden of dat gebruikers de effectiviteit ervan niet beseffen.

Wachtwoorden

Het onderzoek laat verder zien dat wachtwoordbeheer belangrijk is voor zowel gebruikers als experts, maar er verschillende aanpakken worden gehanteerd. De experts maken veel gebruik van wachtwoordmanagers. Het verschil tussen experts en gebruikers bedraagt een factor drie. 24% van de gebruikers zegt voor sommige accounts een wachtwoordmanager te gebruiken, terwijl dit bij de experts 73% is. Verder vinden gebruikers anti-virussoftware erg belangrijk, terwijl experts de voorkeur aan andere maatregelen geven.

"Onze resultaten laten zien dat experts en niet-experts verschillende maatregelen nemen om zichzelf op internet te beschermen. De maatregelen van de experts worden door experts als goed advies beschouwd, terwijl de maatregelen van de niet-experts gemengde reacties van experts krijgen", aldus de onderzoekers. Die stellen dat er ruimte voor verbetering is als het gaat om het vaststellen van de belangrijkste beveiligingsmaatregelen en om dit vervolgens aan eindgebruikers duidelijk te maken.

Image

Reacties (12)
23-07-2015, 13:33 door Anoniem
Die mensen ken ik ook, die hun systemen en software niet willen updaten. Soms door een nare ervaring in het verleden waarbij het mis ging (al dan niet hun eigen schuld) en nu dus huiverig zijn. Persoonlijk check ik elke dag voor updates onder Linux en Windows (Patch my PC is perfect om je software bij te houden) en dan instaleren.

De mensen die dit niet durven of doen zijn ook vaak de mensen (lees windows gebruikers) die altijd problemen met hun computers hebben.
23-07-2015, 13:35 door Anoniem
Ik denk dat het installeren van beveiligingsupdates in belang overschat wordt door de experts.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.

En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.
23-07-2015, 13:35 door Anoniem
"35% van de experts noemt het installeren van beveiligingsupdates als beveiligingsmaatregel"

Blijft een droevig getal. Dit zou toch ondertussen 99% moeten zijn?? Anders ben je in mijn ogen geen expert.
23-07-2015, 13:45 door B3am
Er is blijkbaar nog een lange weg te gaan.

"Ik heb een anti-virus programma, dus wat kan mij gebeuren...".

Nee, dan toch liever 3x in de week patchen.
23-07-2015, 14:16 door Anoniem
Door Anoniem: Ik denk dat het installeren van beveiligingsupdates in belang overschat wordt door de experts.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.

En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.

Je redenatie is een grote drog reden. Ook op een volledig gepatched systeem zijn inderdaad wel lekken te vinden, maar alle bekende lekken, waar de hacking tools die 95% van de wereld gebruiken, gebruik van maken, zijn wel dicht.

Security experts weten dat ze altijd een gevaar lopen, dat niks 100% is.. maar ze weten ook wat de stappen zijn die je zo min mogelijk risico laten lopen. En je systeem patchen is inderdaad nummer 1.
23-07-2015, 15:22 door dutchfish
Ik test iedere patch vooraf, daarna wordt hij 'gescheduled'. De meeste patches worden door mij binnen 24 uur of sneller doorgevoerd waarbij ik de volgende zaken in acht neem:
- Is de patch een security fix? Zo ja, dan asap of meteen.
- Is die patch een roll up dan krijgt hij een lagere prioriteit, tenzij functionaliteits-stoornissen bekend zijn die hiermee worden verholpen.
- Een actief misbruikte patch 'in the wild' krijgt voorrang.
- Geen enkele patch gaat automatisch, patches doorvoeren is handwerk en vooral doordacht maatwerk. Dus bijvoorbeeld orca gebruiken om patches aan te passen aan je company policy.
- Er wordt nooit een patch doorgevoerd als de betrokken productie machine geen goede backup status heeft.
- Lezen en nog meer lezen, Vooral alle CVE's.
- Wel gecentraliseerd downloaden maar niet doorvoeren is een prima strategie. Dus een manual aproval, altijd.

Hiermede heb ik veel ellende en frustratie voorkomen. Ja, ik ben dus een grote voorstander van SNEL patchen. Een blooper van een leverancier haal je er in 99% van de gevallen eruit in je test setups.

Mijn 2 centen
23-07-2015, 15:48 door Eric-Jan H te D
automatisch patchen is in een aantal gevallen onwenselijk.
- de laptop draait op accu
- de laptop hangt aan een open WiFi
- een ongestoorde werking is op sommige momenten een absolute noodzaak.

Kies daarom je patchwindow bewust
23-07-2015, 16:20 door Anoniem
Door Anoniem: Ik denk dat het installeren van beveiligingsupdates in belang overschat wordt door de experts.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.

En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.

"Inbrekers kunnen toch wel binnen komen als ze willen dus ik laat mijn deur altijd open staan"
23-07-2015, 17:59 door Anoniem
Ik draai Windows in een "sandbox" en start op zonder internetverbinding.

Mijn gegevens staan op een externe HD die ik alleen aansluit als het internet uitstaat en niet aan is geweest, zo nodig start ik de computer opnieuw.

Geen automatische updates en geen realtime (virus)scans.
Veilig? waarschijnlijk niet maar onveiliger dan wel updates en scans en de gegevens op de systeemschijf dat denk ik niet.

Op mijn andere, snellere computer, draai ik Linux met updates en een virtuele Windows zonder updates en scans.
De virtuele Windows start ik altijd vanuit een schoon snapshot en de gegevens haal ik op of schrijf ik weg naar de eerder genoemde externe HD die ik zelfs hier alleen aansluit als het internet uitstaat en niet aan is geweest.

Misschien overdreven maar ik heb hierbij veel meer het gevoel de ellende zelf in de hand te hebben i.p.v. over te laten aan anderen zonder daar enige controle op te hebben.
23-07-2015, 18:05 door Anoniem
ik ' check ' elke dag op updates voor mijn linuxserver, en mijn laptop met linux

Als ik windows gebruikte had ik op dezelfde manier gedaan.

Updates zijn erg belangrijk voor je systeem.
24-07-2015, 10:21 door Anoniem
Door Anoniem:
"Inbrekers kunnen toch wel binnen komen als ze willen dus ik laat mijn deur altijd open staan"

Voor de bühne geeft de politie het advies om je deur met 3 sloten op slot te doen, maar ze weten ook wel dat de
inbrekers tegenwoordig gewoon de ruiten inslaan.

Dat wil niet zeggen dat het niet slim is om altijd je deur op slot te doen, maar dit artikel heeft de aire dat het installeren
van alle beveiligings updates je op de een of andere manier beschermt, en dat is natuurlijk onzin. Je bent bezig om te
controleren of de rits van je tent wel dicht is, terwijl iedere camping inbreker een mes heeft.
24-07-2015, 15:55 door Anoniem
Beheerders die zo zomaar alle updates installeren wanneer ze uitkomen mag je best dom of roekeloos noemen.

Updates introduceren namelijk ook nieuwe zero days terwijl bij een bekend lek men weet wat de aanvalsvector is; afhankelijk van de impact ga je dan een workaround regelen of de update testen en zelfs zijn gedrag analyseren om het vervolgens al dan niet te installeren in productie. Soms is de update niet eens van toepassing in een specifieke configuratie. Hem wel installeren is dan alleen maar extra risico.

Zeker nu vaak updates defect blijken lijkt het me handig je te verdiepen in updates. Voorbeeld, een update specifiek voor MS office 2010 hoef je echt niet te installeren op een systeem waar alleen office XP op staat, ook al is deze als important aangemerkt. Het is een ander verhaal als het om een gedeeld component van office gaat.

Daarom, eerst onderzoeken en dan pas toepassen, niet gaan roepen dat updaten altijd moet. Het hele update verhaal geeft net als antivirus een vals gevoel van veiligheid. Mensen denken dat ze met updates en AV veilig zijn. Dat is helaas niet zo.

Grote bedrijven willen dat mensen dit geloven; hoe sneller mensen updates installeren, hoe sneller ze wijzigingen in hun software kunnen doorvoeren. Wijzigingen die soms ook nadelig kunnen zijn, bijvoorbeeld de support voor een bestandsformaat verwijderen of een tijdslimiet voor gebruik introduceren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.